5

вступление

Недавно я заметил некоторые сервисы, которые имели странные значения, добавленные к имени сервиса, когда приводили в порядок мой ПК. В выводе sc query они выглядят так:

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[Надрез] ...

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Выход Regedit в виде изображений:

Идеи / Действия

Моей первой мыслью было, что я, возможно, заразился вирусом или вредоносным ПО, и что-то пыталось выдать себя за законную услугу с помощью плохой торговой марки. Я полагаю, что исключил это, так как сервисы почти такие же, как и их законные не шестнадцатеричные дополнения. (см. вывод regedit)

Некоторые сервисы имеют неверное описание, но идентичный код для создания описания в regedit. Кроме того, я успешно выдал sc delete <svcname> . Тем не менее, они воссоздаются после перезагрузки.

Вопросы

Что это за услуги и почему они так названы?
Как мне их удалить?

|источник

2 ответа2

4

CDPUserSvc является законной службой MS Windows.

Что касается добавленного случайного кода, например _405bc, это копия той же службы Windows без суффикса. MS добавила эти "теневые" копии в качестве меры "безопасности" (и, между прочим, усложнила управление пользователями этими услугами). Пример тени Windows OneSyncSvc показан ниже. Так как суффикс может измениться при перезагрузке, чтобы полностью отключить службу (например , если вы никогда не используете Windows , OneSync), установите Start в HKLM\SYSTEM\CurrentControlSet\Services ... и для обслуживания и его тень на 4.

OneSncSvc shadow

|источник
0

Это не вредоносная программа ... но, по моему скромному мнению, довольно плохое имя для процесса или службы. Вирусные процессы также используют такие имена ... и было бы легко обмануть пользователей после прочтения вышеупомянутого поста, что вирусный процесс на самом деле является законным процессом.

Есть и другие похожие процессы: Как отключить OneSyncSvc_c523d на Win10?

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .